Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Les dossiers médicaux de 150 000 patients américains en accès libre sur le cloud d’Amazon

12 oct. 2017 - 10:59,
Tribune - Charles Blanc-Rolin
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.

Après la fuite massive de données en juillet dernier de 14 millions de clients des opérateurs téléphoniques Verizon aux États-Unis et Orange en France, liée à leur prestataire commun NICE Systems et celle liée aux nombreuses informations de connexions des clients d’Accenture, dont 40 000 mots de passe stockés en clair (étonnamment, ils sont aussi mauvais que certains éditeurs de la santé).

accenture_passwords

C’est au tour de la société PHM (Patient Home Monitoring), spécialisée dans la surveillance de patients à domicile, de commettre l’erreur de laisser son espace de stockage Amazon S3 en accès libre. Selon la société Kromtech Security,47,5Go de données ont été exposés publiquement. 316 363 fichiers PDF contenant les données personnelles des patients, nom, prénom, date de naissance, adresse, numéro de téléphone, les résultats de tests sanguins hebdomadaires, le nom du praticien...

phm_folder

La société a été contactée par Kromtech Security qui lui a notifié ce problème par mail le 5 octobre dernier. Le lendemain, l’accès public avait été supprimé, mais le lanceur d’alerte n’a reçu aucune réponse à son mail, et là encore, il y a peu de chance que la société fautive informe les patients de cette exposition publique de leur données, #ONCACHELAPOUSSIERESOUSLETAPIS.

Pour rappel, en France, il n’est pas légalement possible d’héberger des données de santé chez Amazon. Seuls les hébergeurs agréés (et prochainement certifiés) peuvent héberger des données de santé pour le compte d’un tiers. 

En Europe, avec l’arrivée du règlement général sur la protection des données (RGPD /GDPR) [1] le 25 mai prochain, un tel incident ferait encourir au responsable du traitement et son sous-traitant des amandes administratives pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire mondial de l’entreprise.

Pour rappel encore, depuis le 1er octobre dernier, un tel incident survenant dans un établissement de soins Français, doit faire l’objet d’une déclaration sur le portail https://signalement.social-sante.gouv.fr/ conformément à au décret n°2016-1151 venant compléter l’article 110 de loi de santé 2016.

[1] Pour approfondir sur le RGPD, je vous suggère les épisodes de la chronique de Cédric Cartau sur le sujet :

/article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html

/article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

/article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html

/article/2666/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-4.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Du dossier patient à la décision thérapeutique : l’IA appliquée aux données cliniques

Du dossier patient à la décision thérapeutique : l’IA appliquée aux données cliniques

22 sept. 2025 - 22:22,

Actualité

Des initiatives concrètes, à l’international et en France, montrent comment l’intelligence artificielle commence à trouver sa place en cancérologie à travers des usages spécifiques et encadrés. Une avancée qui s’appuie sur les données issues des dossiers patients informatisés : comptes rendus cliniq...

Illustration Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

22 sept. 2025 - 21:54,

Communiqué

- L’Institut Paoli-Calmettes (IPC)

L’Institut Paoli-Calmettes franchit une nouvelle étape dans l’innovation chirurgicale en devenant le quatrième établissement en France et le premier en région PACA à s’équiper du robot chirurgical Da Vinci Single Port (SP). Cet appareil de chirurgie robot-assistée, doté d’une caméra assurant une vis...

Dispositifs médicaux numériques : la HAS précise ses principes d’évaluation

10 sept. 2025 - 16:22,

Actualité

- DSIH

La Haute Autorité de Santé a publié aujourd’hui ses premiers principes d’évaluation pour les dispositifs médicaux numériques (DMN) entrant dans les voies de remboursement spécifiques ouvertes en 2023 : la prise en charge anticipée (PECAN) et la Liste des Activités de Télésurveillance Médicale (LATM)...

Illustration Inauguration du cross care data lab ©

Inauguration du cross care data lab ©

04 août 2025 - 14:15,

Tribune

- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-Est

Porté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.